推开门　烟火中的红尘　宣纸上　是故事里的人

　　毕业至今，从最初在乙方安全厂商做安全服务，辗转到互联网公司做安全研发，现今在金融国企做安全建设工作。几年信息安全职业生涯，我经历了从乙方到甲方的角色转换，经历了从互联网到国企的转变。兜兜转转的几年时间里，随着日常工作内容的改变，我对信息安全的认知也发生了一些变化。本篇我将记录总结一些甲方信息安全建设方面的经验，仅代表此时此刻我对于信息安全建设的一些认知（说明：甲方信息安全建设涉及内容太宽泛，本篇大致列举一些信息安全建设方面的措施，具体细节之后会单独记录成文）

冷清化一场，游过往，只剩花前痴梦

　　最近跟业内朋友聊天时经常会谈起信息安全行业现状，以及未来信息安全行业发展趋势相关的话题。我从业五年多时间，经历了信息安全行业从小众走向大众，从忽视到逐渐重视的阶段。五年信息安全从业经验算不上长，但也足够总结自身对于行业的一些思考，至少是阶段性的思考。

欲买桂花同载酒，终不似，少年游

　　最近在一次使用sql中的where in语句时，造成了一些非预期的查询结果。尤其是在代码中去编写并执行sql语句时，会出现一些意外情况。再查阅了一些资料以及手动测试后，发现是自己sql语句写法存在问题，在此记录。

愿你一生努力，一生被爱。想要的都拥有，得不到的都释怀

　　在使用django开发web系统时，经常会遇到需要使用图片验证码的情况。django内置了这方面的模块—django-simple-captcha，使用起来非常方便，在此记录一下。

人生天地间，忽如远行客

　　昨日Python3.8稳定版发布，官网发布了一篇介绍新特性的文章，在此记录一下。

人成各，今非昨，春如旧，人空瘦

　　最近在做一次渗透测试过程中，发现了一处任意文件上传的绕过后缀名限制姿势，觉得还是比较好用的，在此记录以免遗忘。另外2016年的时候我专门汇总过一篇文件上传漏洞绕过姿势的文章，有兴趣的可以去阅读：文件上传漏洞（绕过姿势），本篇作为新增姿势的一个补充。

山谷悠悠，蝶舞翩翩，琴瑟和，仙音缭绕，轻歌曼曼，所谓此生不负

　　2019年10月08日，微软例行发布了10月份的安全更新。此次安全更新总计包含59个CVE，其中高危漏洞9个，中危漏洞49个。目前官方表示，尚未发现本次修复的漏洞出现公开利用和研究的情况。在此次公布的59个漏洞中，CVE-2019-1333是Windows远程桌面客户端远程代码执行漏洞，攻击成功后允许攻击者在相应的用户权限下远程执行任意代码。

月下的你不复当年模样

　　最近在一次渗透测试过程中遇到了一个比较有意思的漏洞，可利用特殊字符构造手机号以绕过发送频率限制，进行短信轰炸。并且在RD同学改完后，仍然发现可被绕过，因此再次记录一番。（文中涉及站点的图片都已打码，只在分享渗透的思路）

会在何处见到你，莫非前尘已注定

　　今天凑时间研究了下requests_html模块，它是requests模块作者开发的另一款爬虫神器。此模块主要结合了xpath网页源码获取功能，以及pyppeteer网页动态渲染功能。后者方便我们获取js动态渲染的源代码，而前者方便从源代码中获取想要的内容。

乌兰巴托的夜 那么静 连风都听不到 我的声音

　　最近利用闲来时间，开发了两款安全相关的平台。一款来源于日常渗透、CTF、开发中积累的安全工具平台；另一款来源日常阅读大佬文章，为了方便而开发的安全热点平台。希望将好的平台分享给大家，有助于提高工作、学习效率，有任何问题可以关注个人公众号并留言告知，多谢。

你的酒馆对我打了烊，子弹在我心头上了膛

　　今天做了几道CTF加密解密题，在此贴一些CTF中常见的密码解密代码。由于之前总结过一些，详见：CTF加密与解密，因此本篇主要补充一些之前没提到的加密方式。

不见归来 ，相思寄于山海！

　　由于合规要求，我需要探测公司哪些主机上运行了DOT、DOH服务，而nmap暂时识别不出这两个服务指纹，无奈只能自己动手了。DOT即（DNS over TLS），DOH即（DNS over HTTPS），这两者都是DNS加密服务，由于我也是第一次接触它们，因此费了一番时间查阅资料，在此记录。

用之则行，舍之则藏

　　大概数月前我写了一个子域名扫描工具，期间用起来感觉还行，故打算作文分享一波。当然Github上优秀开源的子域名扫描工具很多，其原理不外乎：字典爆破、爬取第三方平台、爬取dns解析记录、利用搜索引擎、利用证书等。本篇不打算去做工具间的比较，主要用来分享一下如何利用百度搜索引擎去高效的搜集子域名。

我多想再见你
哪怕匆匆一眼就别离

　　python作为一种解释型语言，源代码加密本身比较困难。但有时候我们在发布一款python产品时又必须考虑到代码的加密性，以避免源代码泄露。为此，我查阅了一些资料，研究了几种python代码加密的常见方式，在此记录一下。

我走过山时，山不说话，
我路过海时，海不说话，
小毛驴滴滴答答，倚天剑伴我走天涯。
大家都说我因为爱着杨过大侠，才在峨嵋山上出了家，
其实我只是爱上了峨嵋山上的云和霞，
像极了十六岁那年的烟花。

　　代码热重载是在一个项目中比较常见的需求，尤其是在扫描服务的开发中，扫描插件的代码需要经常修整，因此如何做到插件代码能够热重载加载，而不是每次修改代码后需要重启服务就变得尤为重要。由于最近正好在一个Python项目中需要实现热重载需求，因此写了个python版的代码热重载demo，仅供参考。